欢迎来到天天文库
浏览记录
ID:45565842
大小:207.67 KB
页数:8页
时间:2019-11-14
《NetScreenIDP系统实施指导》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、NetScreenIDP系统实施指导NetScreen-IDP传感器用來监控它所在的网络。这个传感器是运行着IDP传感器软件的硬件设备(称作IDP设备)。传感器的主要作用是在IDP规则库里所定义的特定规则的基础上,检测可疑的和不止常的网络流量。如果这个传感器运行在线内模式,它也可以针对恶意流量采取预定的动作。NetScreen-IDP设备支持不同的工作模式,各种工作模式具有各自不同的特点。在实施过程中,冇可能衣不同的实施阶段需要不同的工作模式达到特定的目的。这个指导文档将从总体角度介绍工作模式的特点,以及如何有步骤的实施
2、IDP设备,以便充分发挥它的功能。一、工作模式可以将IDP传感器实施为被动嗅探(sniffer)模式或主动网关(gateway)模式。NetScreen-IDP设备无论在何种模式卜,都可以采川独立的管理接口,可以连接到独立的管理网络上。IDP设备的接口数量可以满足典型的网络应用。1•嗅探(sniffer)模式被动嗅探模式下的传感器连接在交换机或hub上,在网络流量经过的时候进行嗅探。传感器监控网络流量,记录安全事件,并可以对攻击产生报警。但是,因为嗅探的传感器不能针对攻击采取行动,所以它不能预防攻击。InternetHu
3、borSwitchClfert2.2.22朋anagomentNetworkmirrorportIfthisIsaswitchstraight-throughcab!oEtho(SnimrqlnlG4、W1.1.1.1GW1.1.1.11DPT作在嗅探模式F优点缺点无缝的IDS替换无任何预防性,被动监控最小的网络改动必须使用Hub,或span的交换机接口不会产牛新的网络故障点对以采用潜逃技术避开可以监控、记录可以的网络行为一个工作在嗅探模式下的IDP不能对网络流量采取预防性措施。因为IDP不是线内,不是在数据包经过的路上,它就不能采取影响连接的动作。嗅探模式下IDP的安全策略无法做到使用以下的动作或机制:•任何关闭、关闭主机、关闭廉洁、丢弃或丢弃包等动作•使用中继模式的SYN保护•反欺骗机制尽管可以在规则中选用这些动作5、或检测机制而不会产生错谋,但是因为IDP不是线内工作,它却不能完成这些动作或者使用这些检测机制预防攻击。如果-•条包含预防动作的规则被匹配,IDP系统会生成一条口志记录(如果口'忐功能被打开),记录的LogViewerAction—栏中内容为dismisso.改正方法:返冋到产生这个问题的那条规则,只选择监控或记录日志行为的动作。关于嗅探工作模式的详细内容请参考NetScreen-IDPA皮书。2.IDP系统线内模式IDP线内模式,也被称为主动网关模式,可以充分发挥IDP攻击预防特性和多方法检测机制的优势。与无预防能力的6、被动IDS系统不同,IDP可以被实施为用于主动地丢弃连结和数据包。只有IDP,作为主动网关的IDP,才可以既检测攻击乂预防攻击。主动的网关传感器放置于网络和防火墙Z间,或者网络和DMZZ间,扮演一种主动的保护网络的角色。当它检测到安全策略所定义的入侵或攻击时,传感器可以丢弃、阻塞或忽略这些可疑的连接一一或者只丢奔可疑的数据包。因为主动网关传感器可以针对攻击采取行动,所以它能预防攻击。线内操作IDP系统的好处有:•攻击在被检测到的同时被停止(丢弃),保证攻击失败,防」I:了攻击成功XT能导致的后果。•可疑的入侵可以被简单地7、丢弃,而不用手工一--地进行研究,节省了管理者的吋间,可以投入到其他项口中去。•IDP在结构和内容两方面,在数据包到达目标Z前进行确认,可以避免常见的躲避IDS设备的潜逃方法。有关IDP线内工作模式的详细内容请参考NetScreen-IDP白皮书。IDP的线内模式可以有桥接、ARP代理和路由三种模式。因为每个网络都具有唯一性,所以IDP的实施模式一定耍依据具体的网络配置而定。下血的内容列出了各种模式的典型实施方法以及优缺点。1)路由模式IDP设备串联在网络上,与网络相连的数据流量接口分配有IP地址,并应该按照路由规则进行8、分配。IDP设备将维护一张(或多张)路由表(静态或动态),当数据到达设备时,设备将根据路山表的内容确定这个数据需要从哪个接口送出,从而确定数据流经设备的路径。然后再进行详细的攻击检测。路由模式的技术特点是:依靠路由表内容转发数据;设备流量接口需要分配IP地址。设备主要工作OSI模型的第三层(网络层)。internet
4、W1.1.1.1GW1.1.1.11DPT作在嗅探模式F优点缺点无缝的IDS替换无任何预防性,被动监控最小的网络改动必须使用Hub,或span的交换机接口不会产牛新的网络故障点对以采用潜逃技术避开可以监控、记录可以的网络行为一个工作在嗅探模式下的IDP不能对网络流量采取预防性措施。因为IDP不是线内,不是在数据包经过的路上,它就不能采取影响连接的动作。嗅探模式下IDP的安全策略无法做到使用以下的动作或机制:•任何关闭、关闭主机、关闭廉洁、丢弃或丢弃包等动作•使用中继模式的SYN保护•反欺骗机制尽管可以在规则中选用这些动作
5、或检测机制而不会产生错谋,但是因为IDP不是线内工作,它却不能完成这些动作或者使用这些检测机制预防攻击。如果-•条包含预防动作的规则被匹配,IDP系统会生成一条口志记录(如果口'忐功能被打开),记录的LogViewerAction—栏中内容为dismisso.改正方法:返冋到产生这个问题的那条规则,只选择监控或记录日志行为的动作。关于嗅探工作模式的详细内容请参考NetScreen-IDPA皮书。2.IDP系统线内模式IDP线内模式,也被称为主动网关模式,可以充分发挥IDP攻击预防特性和多方法检测机制的优势。与无预防能力的
6、被动IDS系统不同,IDP可以被实施为用于主动地丢弃连结和数据包。只有IDP,作为主动网关的IDP,才可以既检测攻击乂预防攻击。主动的网关传感器放置于网络和防火墙Z间,或者网络和DMZZ间,扮演一种主动的保护网络的角色。当它检测到安全策略所定义的入侵或攻击时,传感器可以丢弃、阻塞或忽略这些可疑的连接一一或者只丢奔可疑的数据包。因为主动网关传感器可以针对攻击采取行动,所以它能预防攻击。线内操作IDP系统的好处有:•攻击在被检测到的同时被停止(丢弃),保证攻击失败,防」I:了攻击成功XT能导致的后果。•可疑的入侵可以被简单地
7、丢弃,而不用手工一--地进行研究,节省了管理者的吋间,可以投入到其他项口中去。•IDP在结构和内容两方面,在数据包到达目标Z前进行确认,可以避免常见的躲避IDS设备的潜逃方法。有关IDP线内工作模式的详细内容请参考NetScreen-IDP白皮书。IDP的线内模式可以有桥接、ARP代理和路由三种模式。因为每个网络都具有唯一性,所以IDP的实施模式一定耍依据具体的网络配置而定。下血的内容列出了各种模式的典型实施方法以及优缺点。1)路由模式IDP设备串联在网络上,与网络相连的数据流量接口分配有IP地址,并应该按照路由规则进行
8、分配。IDP设备将维护一张(或多张)路由表(静态或动态),当数据到达设备时,设备将根据路山表的内容确定这个数据需要从哪个接口送出,从而确定数据流经设备的路径。然后再进行详细的攻击检测。路由模式的技术特点是:依靠路由表内容转发数据;设备流量接口需要分配IP地址。设备主要工作OSI模型的第三层(网络层)。internet
此文档下载收益归作者所有